- NIS2 é lei obrigatória da UE. ISO 27001 é uma norma internacional voluntária. São instrumentos diferentes com finalidades diferentes.
- ISO 27001 cobre todas as 10 medidas de segurança do artigo 21 da NIS2, tornando-o um meio eficaz para conformidade NIS2
- Uma organização certificada pela ISO 27001 ainda tem lacunas específicas da NIS2: prazos de notificação de incidentes, responsabilidade da gestão e obrigações de registro
- Se você está começando do zero, uma análise de lacunas é o primeiro passo correto, não escolher um framework e adiar o outro
- O caminho mais eficiente é construir um único programa integrado em vez de dois projetos de conformidade separados
Dois frameworks, uma caixa de entrada
Responsáveis por conformidade em empresas europeias de médio e grande porte estão respondendo perguntas sobre NIS2 e ISO 27001 ao mesmo tempo. É fácil entender por que as equipes confundem os dois: ambos tratam de cibersegurança, ambos exigem avaliações de risco e controles documentados, e ambos levam a auditorias. Mas são instrumentos fundamentalmente diferentes, e tratá-los como intercambiáveis deixa lacunas reais de conformidade.
NIS2 (Diretiva 2022/2555) é legislação da UE. Se sua organização opera em um dos 18 setores críticos e atende ao limite de tamanho, você está em escopo e deve cumpri-la. Não há saída. O descumprimento é aplicável pelas autoridades nacionais e acarreta multas de até €10 milhões ou 2% do faturamento anual global para entidades essenciais. A NIS2 está em vigor desde outubro de 2024.
ISO/IEC 27001:2022 é uma norma internacional para sistemas de gestão de segurança da informação (SGSI). A certificação é voluntária. Qualquer organização pode buscá-la, em qualquer setor, de qualquer tamanho. A norma não diz exatamente quais controles de segurança implementar; ela pede que você construa um sistema de gestão baseado em risco que identifique ameaças sistematicamente, selecione controles proporcionais e melhore continuamente. Organismos de certificação terceirizados avaliam você em relação à norma e emitem um certificado.
Onde se sobrepõem
O Artigo 21 da NIS2 especifica 10 medidas de segurança obrigatórias. O Anexo A da ISO 27001 contém 93 controles em quatro domínios. Todas as 10 medidas da NIS2 correspondem a áreas de controle da ISO 27001:
Uma organização com um SGSI ISO 27001 maduro e bem documentado terá controles implementados para nove dos dez requisitos do Artigo 21 da NIS2. O décimo (MFA) precisa apenas de um complemento pontual. A ISO 27001 é o veículo mais eficiente para construir controles de segurança conformes com a NIS2.
Onde divergem
A sobreposição tem limites reais. A ISO 27001 foi concebida como uma norma de sistemas de gestão, não como um framework de conformidade regulatória, e a NIS2 vai além em três áreas.
As três lacunas mais relevantes na prática são notificação de incidentes, responsabilidade da gestão e registro. A ISO 27001 não menciona a obrigação de notificar uma autoridade governamental em 24 horas após descobrir um incidente. Não menciona responsabilizar pessoalmente seu conselho pela governança de cibersegurança. E não exige que você se registre em um órgão nacional. Essas são obrigações específicas da NIS2 que um programa ISO 27001, por mais maduro que seja, não contempla.
Muitas organizações assumem que a certificação ISO 27001 equivale à conformidade NIS2. Não equivale. Os reguladores buscarão procedimentos documentados de notificação de incidentes, evidências de treinamento da gestão, medidas de risco de cibersegurança aprovadas pelo conselho e registro. Um certificado ISO 27001 isolado não satisfará uma auditoria nesses pontos.
Se você já tem certificação ISO 27001
Você está em boa posição, mas não terminou. Com base em onde a maioria das organizações certificadas se encontra, as lacunas restantes específicas da NIS2 geralmente se enquadram em quatro categorias:
- Processo de notificação de incidentes. Seu plano de resposta a incidentes quase certamente não inclui a sequência de notificação em três etapas da NIS2. Você precisa adicionar uma etapa de notificação regulatória com responsáveis nomeados para o alerta precoce de 24 horas e testá-la em um exercício de tabletop.
- Treinamento e documentação da gestão. O Artigo 20 da NIS2 exige treinamento em nível de conselho sobre identificação de riscos de cibersegurança e seu impacto nas operações. As atas do conselho e registros estruturados de treinamento precisam demonstrar isso de forma explícita.
- Registro. Entidades em escopo devem registrar-se junto à autoridade nacional competente relevante. A ISO 27001 não orienta sobre essa etapa.
- Implantação de MFA. O Anexo A da ISO 27001 trata da gestão de acesso privilegiado, mas não exige MFA tão explicitamente quanto o Artigo 21 da NIS2. Revise sua Declaração de Aplicabilidade e feche a lacuna se o MFA ainda não for um controle documentado.
Para uma organização certificada, fechar essas lacunas é um trabalho pontual, não um projeto de transformação. Uma avaliação de lacunas focada pode identificar exatamente o que está faltando e produzir um plano de remediação em poucas semanas.
Se você está começando do zero
Seu instinto pode ser escolher um framework, concluí-lo e depois tratar do outro. Essa sequência desperdiça esforço. A documentação, avaliações de risco, políticas e evidências de controles que você constrói para a NIS2 se aplicam diretamente à ISO 27001. Executá-los como projetos separados significa fazer o mesmo trabalho duas vezes.
Adicionar a certificação ISO 27001 sobre um programa NIS2 bem estruturado exige aproximadamente 20 a 30% mais esforço. Executá-los como dois programas separados desde o início tipicamente dobra isso: você constrói as mesmas avaliações de risco, políticas e evidências de controles duas vezes.
Se você está em escopo para a NIS2, essa obrigação já está ativa. Comece por ela. Mas estruture seu programa NIS2 usando a abordagem de sistema de gestão da ISO 27001 desde o primeiro dia: escopo definido, avaliação formal de riscos, Declaração de Aplicabilidade mapeando seus controles e ciclo de melhoria documentado. Dessa forma, quando você estiver pronto para buscar a certificação ISO 27001, o organismo de certificação revisará um programa que já existe em forma madura, em vez de começar do zero.
Um programa ISO 27001 construído sem considerar a NIS2 deixa lacunas de conformidade que exigem retrabalho. Construir a NIS2 primeiro, com uma estrutura alinhada à ISO 27001 desde o início, evita isso.
Por onde começar: a análise de lacunas
O primeiro passo para qualquer organização, independentemente de ter controles existentes, certificações vigentes ou nada implementado, é uma análise de lacunas estruturada. Sem ela, você toma decisões baseadas em suposições sobre sua própria postura que raramente são precisas.
Uma boa análise de lacunas cobre três coisas:
- Confirmação do escopo. Você está em escopo para a NIS2? Em qual nível (essencial ou importante)? Você se registrou junto à autoridade nacional competente relevante? Isso nem sempre é óbvio, especialmente para grupos diversificados que operam em múltiplos setores.
- Mapeamento de controles. Onde seus controles, documentação e processos atuais se enquadram no Artigo 21 da NIS2 e no Anexo A da ISO 27001? Isso produz uma visão clara do que você tem, o que precisa ser formalizado e o que precisa ser construído do zero.
- Roteiro de remediação priorizado. Nem tudo precisa acontecer ao mesmo tempo. A análise de lacunas deve produzir uma lista de ações priorizada por risco, com prazos realistas e estimativas de recursos, que permite tomar decisões informadas sobre sequenciamento.
Com esse roteiro em mãos, você pode construir um único programa integrado que avance tanto para a conformidade NIS2 quanto para a certificação ISO 27001 em paralelo, sem duplicar esforço ou criar documentação conflitante.
Organizações que chegam a uma auditoria regulatória NIS2 com uma análise de lacunas concluída e um plano de remediação documentado estão em posição fundamentalmente diferente das que chegam sem um. Os reguladores buscam evidências de que a gestão levou as obrigações a sério. Um roteiro credível é exatamente isso.